应用程序和协议身份根据应用程序层(如 Active Directory、DNS、HTTPS 或 MySQL)在大量应用程序和实施中启用可见性。

第 7 层应用程序标识可识别特定的数据包或流量由哪个应用程序生成,而这一过程与所使用的端口无关。

通过基于应用程序标识的实施,用户可以允许或拒绝应用程序在任何端口上运行,或者强制应用程序在其标准端口上运行。深度数据包检查 (DPI) 允许将数据包负载与定义的模式(通常称为签名)进行匹配。第 7 层服务对象可用于无关端口的实施,或创建新的服务对象,这些对象将利用第 7 层应用程序标识、协议和端口的组合。基于第 7 层的服务对象可用在防火墙规则表和服务编排中,并且在分析应用程序时,应用程序标识信息会在分布式防火墙日志、流量监控和应用程序规则管理器 (Application Rule Manager, ARM) 中捕获。

过程

  1. vSphere Web Client 中,单击网络和安全 (Networking & Security) > 组和标记 (Groups and Tags)
  2. 创建服务并指定第 7 层、应用程序 ID、协议和端口。对于独立于端口的实施,可以跳过该步骤。请参见应用程序 ID GUID创建服务以了解更多详细信息。
  3. 创建一个新的分布式防火墙规则。在服务字段中,选择在步骤 2 中创建的第 7 层服务。对于独立于端口的实施,选择一个应用程序 ID,请参见应用程序 ID GUID。请参见添加防火墙规则以了解详细信息。
  4. 保存并发布该防火墙规则。